Erfahrungswerte aus den Webserver Sicherheitsvorfa llen von 2011

Größe: px
Ab Seite anzeigen:

Download "Erfahrungswerte aus den Webserver Sicherheitsvorfa llen von 2011"

Transkript

1 Erfahrungswerte aus den Webserver Sicherheitsvorfa llen von Einleitung Im Sommer und Herbst 2011 kam es zu diversen Einbrüchen bei bekannten Webseiten in Österreich. Es wurden sensible Daten kopiert und auszugsweise veröffentlicht, was zu einem erheblichen materiellen und auch immateriellen Schaden geführt hat. Das Team von CERT/GovCERT und Fachleute vom BVT waren an der Vorfallsbehandlung und Analyse aktiv beteiligt. Dabei stellte sich heraus, dass eine Reihe von Fehlern in der Betriebsführung diese Einbrüche begünstigt hatte. Dieses Dokument basiert auf den bei diesen Einsätzen gesammelten Erfahrungen und will diese Lehren an alle Betreiber von Webservern in Österreich weitergeben, damit diese die Sicherheit ihrer Infrastruktur verbessern können. Die hier vorliegende Liste mit Empfehlungen ist kein umfassendes Handbuch und erhebt keinen Anspruch auf Vollständigkeit. Für eine erschöpfende Behandlung des Themas Sicherheit von Onlinediensten siehe etwa https://www.sicherheitshandbuch.gv.at/ oder andere entsprechende Fachliteratur. Die folgenden Punkte sind daher primär als Denkanstoß und als Checkliste für Sofortmaßnahmen zu sehen, damit aus den Fehlern dieses Jahres gelernt werden kann und so weitere Einbrüche vermieden werden können. Autoren: Otmar Lendl mit Beiträgen aus dem BVT und dem Bundeskanzleramt. Feedback: Kommentare oder Rückfragen bitte an Seite 1

2 Inhalt Einleitung... 1 Administrative Fragen... 3 Inventar... 3 Extern gehostete Seiten... 3 Sicherheitsverantwortung Betriebssystem/Applikation/Inhalte... 3 Externe Dienstleister... 3 Regelmäßige externe Security Audits... 3 Wer hat meine Daten noch?... 4 Vorfallsmeldung... 4 Medienstrategie... 4 Technische Fragen... 5 Mission Creep... 5 Interne Sicherheitstests... 5 Angriffsfläche minimieren... 5 Andere Webseiten/Applikationen am gleichen Server... 5 Zugriffe einschränken... 5 Web Application Firewall (WAF)... 5 Clean Server Policy... 6 Logging... 6 Google Hacking... 6 Neustart nach einem Vorfall... 6 Zusammenfassung... 7 Seite 2

3 Administrative Fragen Inventar Unsere Erfahrung zeigt, dass sehr wenige Organisationen nur eine einzige Webseite (im Folgenden genannt) betreiben, sondern dass die Zahl der Onlineauftritte überraschend hoch sein kann. Ein erster, notweniger Schritt ist daher, ein Inventar aller eigenen Webseiten zu erstellen. Dazu gehören: Die primären Webseiten Alle Webservices, die nicht für die Öffentlichkeit bestimmt sind, sondern die Dienstleistungen / APIs für andere Organisationen bereitstellen. Seiten, die für eine andere Organisation mitbetrieben werden (Dachverbände, ) Projektbezogene Webseiten Eventbezogene Webseiten (Konferenzen, ) PR/Marketing oder produktbezogene Seiten Entwicklungs/Testserver, alte oder noch nicht produktiv genommene Seiten Extern gehostete Seiten Bei einem Vorfall haben wir gesehen, dass die interne IT gut betreut und abgesichert war, aber eine der Webseiten extern betrieben wurde und deswegen nicht in das Sicherheitskonzept der Organisation eingebunden war. Es ist nötig, auch in diesen Fällen eine zumindest administrative Sicherheitsverantwortung wahrzunehmen: die relevanten Verträge müssen klar definieren, wer für die Sicherheit zuständig ist, und wie überprüft werden kann, dass diese Verantwortung auch wahrgenommen wird. Sicherheitsverantwortung Betriebssystem/Applikation/Inhalte Sowohl bei im eigenen Haus betriebenen Webseiten, als auch bei extern gehosteten Seiten muss man sowohl den Aspekt Sicherheit des Systems (Betriebssystem, Hardware Management) als auch Sicherheit der Applikation berücksichtigen. Gerade bei externem Hosting haben wir Fälle gesehen, wo Verträge für die Anwendung abgeschlossen wurden, das darunterliegende System aber außer Acht gelassen wurde. Oft geht der Auftraggeber davon aus, dass das System im Vertragsinhalt automatisch inkludiert ist, da dieses die Grundlage für die Anwendung ist. Die Verantwortung für die Integrität der Inhalte der Webseite geht über die Absicherung des Webservers hinaus: Sind die Systeme, über die die Webapplikation gewartet und mit Inhalten gefüllt wird, auch hinreichend gesichert? (Beispiel: Schadsoftware am PC des Seitenbetreuers kann die Zugangsdaten zum CMS oder zum ftp Zugang ausspähen und so zu einer manipulierten Webseite führen.) Externe Dienstleister Wie geht man mit den Zugängen von Dienstleistern um? Der Weg durch die Hintertür wird oft vergessen. Regelmäßige externe Security Audits Es hat sich gezeigt, dass Sicherheitsüberprüfungen von wechselnden, externen Dienstleistern ein unverzichtbarer Bestandteil einer erfolgreichen Sicherheitsstrategie sind. Seite 3

4 Schon einfache Penetration Tests hätten die Schwachstellen aufgedeckt, die zu den Einbrüchen des vergangenen Sommers geführt haben. Neben dem Aufzeigen von technischen Schwachstellen eignet sich diese Maßnahme auch zur Überprüfung der organisationsinternen Fähigkeit, selbst nicht erfolgreiche Attacken zu erkennen. Typischerweise ist zumindest ein Zeitraum der Überprüfung bekannt; nutzen Sie externe Audits als Training der internen Eskalationsmechanismen. Wer hat meine Daten noch? In zwei Fällen wurden heuer Daten einer Organisation publik gemacht, die selbst nicht für den Verlust dieser Daten verantwortlich war. Für eine umfassende Datensicherheit sind daher folgende Fragen zu bedenken: Wem gebe ich regelmäßig Kopien von meinen Daten oder Zugang zu diesen? Wie gut ist dessen IT Sicherheit und wie könnte ich verhindern, dass ein Einbruch beim Partner Effekte auf die eigene Organisation hat? Wer hat noch Datenbanken, die inhaltlich nahe an dem sind, was man selber verwaltet? Auch hier: Welche Öffentlichkeitswirkung hätte ein Datenleck dort? Vorfallsmeldung Oftmals werden Sicherheitsprobleme von wohlmeinenden Personen gefunden, die diese auch an die Verantwortlichen melden wollen. Solche Tipps sind sehr wertvoll und können einer Organisation bei entsprechender Behandlung spätere Einbrüche ersparen. Wird hingegen eine Warnung dauerhaft ignoriert, so kann das zu bösem Blut und öffentlichen Angriffen führen. Wir empfehlen, die Annahme und Weitergabe von Sicherheitswarnungen in folgenden Bereichen sicherzustellen: Security Kontakt auf Homepage Helpdesk / Hotline / Kundendienst. Sowohl per Telefon als auch per . Pressestelle Social Media (Facebook, Twitter, ) Auch alle andere Mitarbeiter: Weiß jeder MA, an wen er/sie sich melden kann, wenn er/sie etwas erfährt? Das kann auch völlig IT Fremde treffen, die privat mit Hey, du arbeitest doch bei XYZ. Weißt du, dass man. angesprochen werden. Medienstrategie Im Falle eines Vorfalls ist es extrem wichtig, dass die Kommunikationsstrategie stimmt. Eine gelungene Medienarbeit kann viel Ärger ersparen. Dieses Dokument kann das Thema nur anreißen, etwa: Keine Zahlen nennen, die nicht wirklich gesichert sind. Keine Aussagen, die als Einladung zu weiteren Aktionen der Angreifer aufgefasst werden könnten. De Eskalation in Richtung der Angreifer. Keine Aussagen über die Qualität der eigenen IT Security ( Wir haben eh alles gemacht ). Den Pressesprecher im Krisenfall reden lassen (der Geschäftsführer kann dann immer noch korrigieren.) Seite 4

5 Technische Fragen Mission Creep Webseiten, die anfangs nicht wichtig und somit auch nicht besonders schutzbedürftig waren, können mit der Zeit weitere Funktionalitäten erhalten, die auch Änderungen in der Absicherung erfordern. Ein regelmäßiger Review der Sicherheitsrisiken und Gegenmaßnahmen ist daher nötig. Interne Sicherheitstests Die Tools, die von den Angreifern verwendet werden, sind großteils frei im Internet erhältlich und mit wenig Aufwand einsetzbar. Es spricht daher wenig dagegen, diese Tools einfach selber auf die eigene Infrastruktur anzusetzen. Solche Tests sind nie ganz ohne Risiko, sie können Schäden oder Serviceunterbrechungen verursachen. Es ist aber oft nur eine Frage der Zeit, bis diese Tools von irgendwem im Internet gestartet werden, das lässt sich nicht verhindern. Es ist daher deutlich besser, wenn man diese Tests selber macht und sofort gegensteuern kann, als dass man wartet, bis sie ein böswilliger Angreifer von außen durchführt. Angriffsfläche minimieren Ein Webserver, der nur statische Files (HTML, PDF, Bilder) ausliefert, ist fast nicht angreifbar. Jedes weitere Feature vergrößert die Angriffsfläche. Aus dem Blickwinkel der Sicherheit ist hier Minimalismus angebracht, auch wenn das die Marketing und PR Abteilungen eventuell anders sehen. Andere Webseiten/Applikationen am gleichen Server Jeder weitere Virtual Host am gleichen Webserver kann ein Einfallstor für Angriffe auf die primäre Webseite sein. Ein geben wir doch anderes>.at auf unseren drauf, dort haben wir noch Ressourcen ist gefährlich, außer diese weitere Seite wird genauso auf Sicherheitsprobleme getestet, wie die Hauptseite. Zugriffe einschränken Nicht alle Teile eines Webservers müssen vom ganzen Internet aus erreichbar sein. Insbesondere die Teile für die Verwaltung des Servers sollten zusätzlich auf IP Adressbasis bzw. durch zusätzliche Konfiguration von Benutzernamen/Kennwort Abfragen durch den Webserver unabhängig von der jeweiligen Anwendung (z.b. mittels htaccess Dateien) eingeschränkt sein: Content Management System (CMS) Falls dieses direkt in der operativen Domain betrieben wird, sollten die entsprechenden Pfade in der Webserver Konfiguration abgesichert werden. Es reicht nicht, sich auf das User Management des CMS zu verlassen. Web basierte Administrations Interfaces (phpmyadmin, cpanel, Plesk, ) ftp / sftp File Uploads sollten nur von den notwendigen Adressbereichen aus möglich sein. Damit ist ein kompromittiertes User Passwort nicht sofort für den Angreifer ausnutzbar. Web Application Firewall (WAF) Eine Web Application Firewall (im einfachsten Fall mod_security) kann eine weitere sinnvolle Komponente in der Verteidigungsstrategie sein, insbesondere im Notfall, wenn man die Seite 5

6 Schwachstelle in der Applikation nicht schnell beheben kann. Eine WAF kann aber nie ein Ersatz für die sichere Programmierung von Applikationen sein. Vorsicht ist auch dann geboten, wenn das organisationsinterne Netz an der WAF vorbei auf Webservices zugreifen kann. Clean Server Policy Analog zu einer Clean Desk Policy (keine sensitiven Papiere am Schreibtisch liegen lassen), sollte man auf (Web )Servern alle nicht gebrauchten Daten löschen. Dazu gehören: Temporäre Files Sicherheitskopien von Scripts ( irgendwas.php.bak ) Datenbank Dumps Files, die bei Debugging Sessions angefallen sind Obsolete Applikationen und deren Daten( banken) Transferdaten von und zum Server Logging Im Falle eines Einbruches ist es sehr hilfreich, wenn die Logfiles des betroffenen Servers vorhanden sind und diese vor Manipulationen geschützt waren. Ein Logging der sicherheitsrelevanten Events über das Netz auf einen (zentralen) Logserver kann hier besonders hilfreich sein. Weiters ist es für die Analyse eines Vorfalls wichtig, dass alle beteiligten Geräte (Firewall, IDS, Webserver, ) synchronisierte Systemzeiten führen. Um im Falle einer Attacke die benötigten Informationen zur Hand zu haben empfiehlt es sich die Logging Mechanismen bereits im Vorhinein auf den individuellen Informationsbedarf auszurichten. Hier wird ein Kompromiss zwischen Vollständigkeit und Handhabbarkeit der Daten getroffen werden müssen. Google Hacking In manchen Fällen waren es keine Einbrüche, die für Aufregung gesorgt haben, sondern schlicht Daten, die öffentlich auf Webservern abrufbar waren. Oft genug findet der die Suchmaschine Daten auf Webseiten, die dort abgelegt oder liegengelassen wurden, die aber nicht für die Öffentlichkeit bestimmt waren. Google Hacking nennt man die Nutzung von Suchmaschinen zum gezielten Auffinden von Informationen, die entweder selber schon sensitiv sind, oder für echtes Hacking hilfreich sind. Es ist daher ratsam, diese Informationsquelle selbst zu nutzen, um Datenlecks zu finden und zu beseitigen. Durch entsprechende Konfiguration des Servers kann schon die unerwünschte Indizierung bestimmter Bereiche weitgehend vermieden werden (Verwendung der Datei robots.txt ) Daten die von Suchmaschinen nicht indiziert wurden können auch nicht über diese gefunden werden. Neustart nach einem Vorfall Nachdem in einen Server eingebrochen und Inhalte verändert wurden, sollte man diesen Server vom Netz nehmen. Ein simples Richtigstellen der veränderten Information reicht bei weitem nicht. Erst nach einer genauen Analyse und dem Beheben der Schwachstellen kann man daran denken, den Server wieder in Betrieb zu nehmen. Dazu gehört: Über welchen Weg ist der Angreifer ins System eingedrungen? Seite 6

7 Welche Daten wurden manipuliert / kopiert? Welche Privilegien hat sich der Angreifer verschaffen können? Konnte der Angreifer vom offensichtlich betroffenen System aus weitere kompromittieren? Sind alle im Zuge der Analyse entdeckten Schwachstellen gefixt? Findet eine aktive Suche nach weiteren Problemen auf dem Server nichts mehr? Falls nicht ganz eindeutig klar ist, dass der Angreifer nur minimalen Zugriff erlangen konnte, ist eine komplette Neuinstallation des Systems angebracht. In diesem Zusammenhang sollte man auch bedenken, dass Angreifer oft bewusst offensichtliche Einbruchsspuren hinterlassen, um von den tatsächlich ausgenutzten Schwachstellen abzulenken um diese weiter zur Verfügung zu haben. Im Zweifelsfall sollte von einer vollständigen Kompromittierung ausgegangen werden. Zusammenfassung Die Sicherheitsvorfälle des Sommers und Herbst 2011 waren keine neuartigen Angriffe auf Webserver oder gar aufwändige, gezielte Attacken auf die komplette IT Infrastruktur von Organisationen (Stichwort Advanced Persistant Threat APT), sondern waren die Folgen von klassischen Fehlern in der Absicherung von Webservern. Dieses Dokument soll als Checkliste für die Betreiber von Webseiten dienen, um schnell die wichtigsten Maßnahmen zur Absicherung dieser Dienste umsetzen zu können. Diese Sofortmaßnahmen können aber kein dauerhafter Ersatz für eine durchdachte und gelebte IT Sicherheitsstrategie innerhalb der eigenen Organisation sein. Seite 7

Kann Big Data Security unsere IT-Sicherheitssituation verbessern?

Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Kann Big Data Security unsere IT-Sicherheitssituation verbessern? Prof. Dr. (TU NN) Norbert Pohlmann Institut für Internet-Sicherheit if(is) Westfälische Hochschule, Gelsenkirchen http://www.internet-sicherheit.de

Mehr

Live Hacking auf eine Citrix Umgebung

Live Hacking auf eine Citrix Umgebung Live Hacking auf eine Citrix Umgebung Ron Ott + Andreas Wisler Security-Consultants GO OUT Production GmbH www.gosecurity.ch GO OUT Production GmbH Gegründet 1999 9 Mitarbeiter Dienstleistungen: 1 Einleitung

Mehr

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen.

Philosophie & Tätigkeiten. Geschäftsfelder. Software Engineering. Business Applikationen. Mobile Applikationen. Web Applikationen. Philosophie & Tätigkeiten Wir sind ein Unternehmen, welches sich mit der Umsetzung kundenspezifischer Softwareprodukte und IT-Lösungen beschäftigt. Wir unterstützen unsere Kunde während des gesamten Projektprozesses,

Mehr

IT Best Practice Rules

IT Best Practice Rules Informatikdienste Direktion Reto Gutmann IT Best Practice Rules Versionskontrolle Version Historie / Status Datum Autor/in URL 1.0 Initial Version 27.08.2013 Autorengemeinschaft ID - nur für internen Gebrauch

Mehr

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation

Departement Wirtschaft. IT Forensics in action against malicious Software of the newest generation Departement Wirtschaft IT Forensics in action against malicious Software of the newest generation Dipl. Ing. Uwe Irmer IT Security- Schnappschüsse 2 Malware der neuesten Generation Professionalität- wer

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Dr. Marc Rennhard Institut für angewandte Informationstechnologie Zürcher Hochschule Winterthur marc.rennhard@zhwin.ch Angriffspunkt

Mehr

Aktuelle Sicherheitsprobleme im Internet

Aktuelle Sicherheitsprobleme im Internet Herbst 2014 Aktuelle Sicherheitsprobleme im Internet Wirtschaftsinformatik: 5. Semester Dozenten: Rainer Telesko / Martin Hüsler Fachhochschule Nordwestschweiz FHNW / Rainer Telesko - Martin Hüsler 1 Inhalt

Mehr

Top Findings bei Security Audits. DI (FH) Wolfgang Köppl

Top Findings bei Security Audits. DI (FH) Wolfgang Köppl Top Findings bei Security Audits DI (FH) Wolfgang Köppl DI(FH) Wolfgang Köppl Top Findings bei Security Audits Absolvent Studiengang und Mediensicherheit / FH Hagenberg Gründer des Hagenberger Kreises,

Mehr

Schwachstellenanalyse 2013

Schwachstellenanalyse 2013 Schwachstellenanalyse 2013 Sicherheitslücken und Schwachstellen in Onlineshops Andre C. Faßbender Schwachstellenforschung Faßbender 09.01.2014 Inhaltsverzeichnis 1. Abstract... 3 2. Konfiguration der getesteten

Mehr

Sicherheit allgemein

Sicherheit allgemein Sicherheit allgemein Markus Krieger Rechenzentrum Uni Würzburg krieger@rz.uni-wuerzburg.de 1 Einführung Ziel der Veranstaltung Definition von Sicherheit und Gefahren Denkanstöße Angreifer, Angriffsmöglichkeiten

Mehr

Datenbank-basierte Webserver

Datenbank-basierte Webserver Datenbank-basierte Webserver Datenbank-Funktion steht im Vordergrund Web-Schnittstelle für Eingabe, Wartung oder Ausgabe von Daten Datenbank läuft im Hintergrund und liefert Daten für bestimmte Seiten

Mehr

Web Application Security

Web Application Security Web Application Security Was kann schon schiefgehen. Cloud & Speicher Kommunikation CMS Wissen Shops Soziale Netze Medien Webseiten Verwaltung Chancen E-Commerce Kommunikation Globalisierung & Digitalisierung

Mehr

Herzlich Willkommen. Der Weg zur eigenen Homepage. vorgestellt von Frank Kullmann

Herzlich Willkommen. Der Weg zur eigenen Homepage. vorgestellt von Frank Kullmann Herzlich Willkommen Der Weg zur eigenen Homepage vorgestellt von Frank Kullmann 1. Die Planung Was soll auf unserer Homepage abgebildet werden (Texte, Bilder, Videos usw.)? Welche Struktur soll unsere

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co.

Soziale Netzwerke Basisschutz leicht gemacht. 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. www.bsi-fuer-buerger.de Ins Internet mit Sicherheit! Soziale Netzwerke Basisschutz leicht gemacht 10 Tipps zur sicheren Nutzung von sozialen Netzwerken wie Facebook, Xing & Co. Sicher unterwegs in Facebook,

Mehr

kostenlose Homepage erstellen

kostenlose Homepage erstellen kostenlose Homepage erstellen Anleitung zur Erstellung einer kostenlosen Homepage Seite 1 Inhalt Einleitung...3 Hosting...5 Homepage Baukasten...10 Web Design...13 Homepage erstellen...14 Webseiten...15

Mehr

99 Backdoors on my UNIX Host Über die Probleme nach einem Sicherheitsvorfall

99 Backdoors on my UNIX Host Über die Probleme nach einem Sicherheitsvorfall State-of-the-art Technology for Worldwide Telecommunications Über die Probleme nach einem Sicherheitsvorfall Andreas Bunten GUUG-Frühjahrsfachgespräch 2012 01.03.2012 I Controlware GmbH I Seite 1 Wie man

Mehr

IT kompetent & wirtschaftlich

IT kompetent & wirtschaftlich IT kompetent & wirtschaftlich 1 IT-Sicherheit und Datenschutz im Mittelstand Agenda: - Wieso IT-Sicherheit und Datenschutz? - Bedrohungen in Zeiten globaler Vernetzung und hoher Mobilität - Risikopotential

Mehr

Der Wert von Daten. Biometrie als Zugriffsschutz. Vorteile biometrischer Systeme

Der Wert von Daten. Biometrie als Zugriffsschutz. Vorteile biometrischer Systeme 2005 Siemens AG Österreich www.siemens.com/biometrics biometrics@siemens.com Datensicherheit durch biometrische Verfahren Der Wert von Daten Biometrie als Zugriffsschutz Vorteile biometrischer Systeme

Mehr

CERT NRW Jahresbericht 2012

CERT NRW Jahresbericht 2012 Seite: 1 von 19 CERT NRW Jahresbericht 2012 Seite: 2 von 19 Inhalt CERT NRW... 1 Jahresbericht 2012... 1 Einleitung... 3 Aufgaben des CERT NRW... 3 Tätigkeitsbericht... 4 Schwachstellen in Webangeboten

Mehr

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH /

Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH / Best Practice Sichere Webseite vom Server bis CMS 02.12.2014 Dr. Markus Müller Bereichsleiter secunet AG Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security

Mehr

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten

Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Ist Ihr Netzwerk sicher? 15 Fragen die Sie sich stellen sollten Innominate Security Technologies AG Rudower Chaussee 29 12489 Berlin Tel.: (030) 6392-3300 info@innominate.com www.innominate.com Die folgenden

Mehr

Praktikum IT-Sicherheit

Praktikum IT-Sicherheit IT-Sicherheit Praktikum IT-Sicherheit - Versuchshandbuch - Aufgaben Footprinting Footprinting stellt bei Sicherheitstests oder vor einem Angriff die Phase der Informationsbeschaffung dar, durch die IP-

Mehr

Cloud-Computing. Selina Oertli KBW 28.10.2014

Cloud-Computing. Selina Oertli KBW 28.10.2014 2014 Cloud-Computing Selina Oertli KBW 0 28.10.2014 Inhalt Cloud-Computing... 2 Was ist eine Cloud?... 2 Wozu kann eine Cloud gebraucht werden?... 2 Wie sicher sind die Daten in der Cloud?... 2 Wie sieht

Mehr

Loslegen mit Contrexx: In 10 Schritten zur professionellen Webseite.

Loslegen mit Contrexx: In 10 Schritten zur professionellen Webseite. Loslegen mit Contrexx: In 10 Schritten zur professionellen Webseite. Autor: Nicolas Müller Juli 2012 www.contrexx.com 1 Einleitung Diese Anleitung soll Ihnen helfen eine professionelle Webseite zu erstellen

Mehr

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme

SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme SAP Systeme absichern: Gut gemeint ist nicht gut gemacht! Erfahrungen aus SAP Security Audits und Tipps zur Härtung Ihrer Systeme Ralf Kempf akquinet AG www.dsag.de/go/jahreskongress AGENDA 1. Erfahrungen

Mehr

Compass Security AG [The ICT-Security Experts]

Compass Security AG [The ICT-Security Experts] Compass Security AG [The ICT-Security Experts] Live Hacking: Cloud Computing - Sonnenschein oder (Donnerwetter)? [Sophos Anatomy of an Attack 14.12.2011] Marco Di Filippo Compass Security AG Werkstrasse

Mehr

Bestimmungen zur Kontrolle externer Lieferanten

Bestimmungen zur Kontrolle externer Lieferanten Bestimmungen zur Kontrolle externer Lieferanten Internet-Sicherheit Für Lieferanten der Kategorie Geringes Internetrisiko Internet- 1. Ressourcenschutz und Systemkonfiguration Die Daten von Barclays sowie

Mehr

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI

Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Hacking für Deutschland!? Aufgaben und Herausforderungen der Cyberabwehr im BSI Andreas Könen Vizepräsident, Bundesamt für Sicherheit in der Informationstechnik Hacking für Deutschland!? Aufgaben und Herausforderungen

Mehr

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co

Soziale Netzwerke Basisschutz leicht gemacht. Tipps zur sicheren Nutzung von Facebook, Xing & Co Soziale Netzwerke Basisschutz leicht gemacht Tipps zur sicheren Nutzung von Facebook, Xing & Co Sichere Nutzung sozialer Netzwerke Über soziale Netzwerke können Sie mit Freunden und Bekannten Kontakt aufnehmen,

Mehr

www.flatbooster.com FILEZILLA HANDBUCH

www.flatbooster.com FILEZILLA HANDBUCH www.flatbooster.com FILEZILLA HANDBUCH deutsche Auflage Datum: 12.03.2011 Version: 1.0.2 Download: http://flatbooster.com/support Inhaltsverzeichnis 1 Filezilla FTP Programm 1 1.1 Filezilla installieren.................................

Mehr

Wie steht es um die Sicherheit in Software?

Wie steht es um die Sicherheit in Software? Wie steht es um die Sicherheit in Software? Einführung Sicherheit in heutigen Softwareprodukten Typische Fehler in Software Übersicht OWASP Top 10 Kategorien Praktischer Teil Hacking Demo Einblick in die

Mehr

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen

29. Mai 2008. Schutz gegen DoS-Angriffe auf Webapplikationen 29. Mai 2008 Schutz gegen DoS-Angriffe auf Webapplikationen Agenda Bedrohung Schutz aktiv passiv 29.05.2008, Seite 2 Bedrohung Definition Denial of Service Angriffe auf Webapplikationen erfolgen auf Schicht

Mehr

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik

Wo ist mein Geld? Identitätsmissbrauch im Online-Banking. Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik Wo ist mein Geld? Identitätsmissbrauch im Online-Banking Christoph Sorge Universität des Saarlandes juris-stiftungsprofessur für Rechtsinformatik C. Sorge 2 Überblick Rechner des Kunden Server der Bank

Mehr

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 7) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

Talk2M Konfiguration für ewon DSL/LAN - Modelle

Talk2M Konfiguration für ewon DSL/LAN - Modelle Talk2M Konfiguration für ewon DSL/LAN - Modelle Seite 1 von 17 ewon - Technical Note Nr. 016 Version 1.0 Talk2M Konfiguration für ewon DSL/LAN - Modelle Einrichtung des Talk2M Services für die Verbindung

Mehr

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen

Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen FAEL-Seminar Aktuelle Sicherheitsprobleme im Internet: Angriffe auf Web-Applikationen Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

Compass Event 2009. Vorträge. Ivan Bütler 13. August 2009. Willkommen!

Compass Event 2009. Vorträge. Ivan Bütler 13. August 2009. Willkommen! Compass Event 2009 Willkommen! Wir freuen uns, Sie begrüssen zu dürfen. Ivan Bütler 13. August 2009 Ich freue mich Ihnen den Termin für den Compass Event 2009 bekanntzugeben. Am Donnerstag, 15. Oktober

Mehr

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security

Informationssicherheit in der Praxis. Risikoverantwortung und Know-How Schutz im Unternehmen. @-yet GmbH Hans-Peter Fries Business Security Informationssicherheit in der Praxis @-yet GmbH Hans-Peter Fries Business Security Risikoverantwortung und Know-How Schutz im Unternehmen @-yet GmbH, Schloß Eicherhof, D-42799 Leichlingen +49 (02175) 16

Mehr

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke

Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen. Dr. Ingo Hanke, IDEAS. Dr. Ingo Hanke Sicherheit! Sicherheit ist unumgänglich - Für Sie, Ihre Mitarbeiter, Ihr Unternehmen, IDEAS Übersicht # 1 Einleitung # 2 IT-Sicherheit wozu denn? # 3 IT-Sicherheit die Grundpfeiler # 4 IT-Sicherheit ein

Mehr

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014

HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE. Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 HÄRTUNG VON WEB-APPLIKATIONEN MIT OPEN-SOURCE-SOFTWARE Münchener Open-Source-Treffen, Florian Maier, 23.05.2014 ÜBER MICH 34 Jahre, verheiratet Open Source Enthusiast seit 1997 Beruflich seit 2001 Sicherheit,

Mehr

Installationsanleitung Webhost Linux Flex

Installationsanleitung Webhost Linux Flex Installationsanleitung Webhost Linux Flex Stand März 2014 Inhaltsverzeichnis 1. Zugangsdaten & Login... 3 2. Passwort ändern... 4 3. Leistungen hinzufügen / entfernen... 6 4. Datenbanken anlegen / entfernen...

Mehr

IT SICHERHEITS-AUDITOREN

IT SICHERHEITS-AUDITOREN PenTest-Module Produktportfolio UNABHÄNGIGE, ZUVERLÄSSIGE UND ERFAHRENE IT SICHERHEITS-AUDITOREN Blue Frost Security PenTest-Module Blue Frost Security 1 Einführung Konsequente Penetration Tests, regelmäßige

Mehr

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH

Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH Open for Business - Open to Attack? Walter Lender, Geschäftsführer, Visonys IT-Security Software GesmbH 2 Open for Business - Open to Attack? 75% aller Angriffe zielen auf Webanwendungen (Gartner, ISS)

Mehr

Bernd Fuhlert - Vorstand Revolvermänner AG

Bernd Fuhlert - Vorstand Revolvermänner AG Rufmord im Netz Wie ich mich als Person dagegen schützen kann! BvD e. V. Verbandstage 2015 Berlin, 12. Mai 2015 Bernd Fuhlert - Vorstand Revolvermänner AG Als Branchenpionier schützen und stärken wir seit

Mehr

Der eigene Internetauftritt. Die eigene Webseite für den Fotografen

Der eigene Internetauftritt. Die eigene Webseite für den Fotografen Der eigene Internetauftritt Die eigene Webseite für den Fotografen Thomas Högg, modulphoto.de, November 2013 IDEE UND VORAUSSETZUNGEN Seite 3 Was benötigt man für seinen Internetauftritt? Von der Idee

Mehr

sinnvoll? Wann ist der Einsatz von SharePoint als CMS How we did it: Realisierung einer Website mit SharePoint 2013

sinnvoll? Wann ist der Einsatz von SharePoint als CMS How we did it: Realisierung einer Website mit SharePoint 2013 Wann ist der Einsatz von SharePoint als CMS sinnvoll? How we did it: Realisierung einer Website mit SharePoint 2013 SharePoint Community, 12. Februar 2014 Alexander Däppen, Claudio Coray & Tobias Adam

Mehr

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN.

SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. SICHERHEITSANALYSE & PENTEST SCHWÄCHEN ERKENNEN HEISST STÄRKE GEWINNEN. willkommen in sicherheit. 02...03 UNSER GEZIELTER ANGRIFF, IHRE BESTE VERTEIDIGUNG. Hackerangriffe sind eine wachsende Bedrohung

Mehr

Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing

Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing Aktuelle Studie zur Bedrohungslage 2010: Gefahrenquelle Cloud Computing von Ulrike Wendel (ulrike.wendel@crn.de) 18.08.2010 Cyberkriminelle werden immer raffinierter wenn es darum geht, Daten von Unternehmen

Mehr

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist?

Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? Pallas Security Colloquium Web Application Testing: Wie erkenne ich, ob meine Website angreifbar ist? 18.10.2011 Referent: Tim Kretschmann Senior System Engineer, CISO Pallas GmbH Hermülheimer Straße 8a

Mehr

Tablets im Business: Gadget oder sicheres Werkzeug?

Tablets im Business: Gadget oder sicheres Werkzeug? Tablets im Business: Gadget oder sicheres Werkzeug? Daten- und Policy-Management Renato Zanetti CSI Consulting AG, Partner 12.09.2012 Agenda Einleitung, Trends Einsatzkonzepte Anforderungen Lösungsvorschläge

Mehr

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac

Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zugriff auf die Installation mit dem digitalstrom- Konfigurator mit PC und Mac Zusatz zum digitalstrom Handbuch VIJ, aizo ag, 15. Februar 2012 Version 2.0 Seite 1/10 Zugriff auf die Installation mit dem

Mehr

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN

IT-SICHERHEIT IN KLEINEN UND MITTELSTÄNDISCHEN UNTERNEHMEN DISCLAIMER / HAFTUNGSAUSSCHLUSS Haftung für Inhalte Die auf Seiten dargestellten Beiträge dienen nur der allgemeinen Information und nicht der Beratung in konkreten Fällen. Wir sind bemüht, für die Richtigkeit

Mehr

Ist meine WebSite noch sicher?

Ist meine WebSite noch sicher? Ist meine WebSite noch sicher? Massive Angriffe gegen Joomla, Wordpress, Typo3 02.12.2014 Stephan Sachweh Geschäftsführer Pallas GmbH Pallas stellt sich vor Wir sind ein MSSP: Managed Security Service

Mehr

Complex Hosting. Whitepaper. Autor.: Monika Olschewski. Version: 1.0 Erstellt am: 14.07.2010. ADACOR Hosting GmbH

Complex Hosting. Whitepaper. Autor.: Monika Olschewski. Version: 1.0 Erstellt am: 14.07.2010. ADACOR Hosting GmbH Complex Hosting Autor.: Monika Olschewski Whitepaper Version: 1.0 Erstellt am: 14.07.2010 ADACOR Hosting GmbH Kaiserleistrasse 51 63067 Offenbach am Main info@adacor.com www.adacor.com Complex Hosting

Mehr

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang

IT Security Audit. www.securityaudit.ch. Beschreibung. Kundennutzen. Leistungsumfang IT Security Audit Beschreibung Die Informatik ist immer stärker verantwortlich für das Erstellen und die Abwicklung von geschäftskritischen Abläufen und wird dadurch zum unmittelbaren Erfolgsfaktor eines

Mehr

Collax Web Application

Collax Web Application Collax Web Application Howto In diesem Howto wird die Einrichtung des Collax Moduls Web Application auf einem Collax Platform Server anhand der LAMP Anwendung Joomla beschrieben. LAMP steht als Akronym

Mehr

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1

Kurzpräsentation zum Thema Vulnerability Scanning. by WellComm AG, Lengnau Seite 1 Kurzpräsentation zum Thema Vulnerability Scanning by WellComm AG, Lengnau Seite 1 Januar 2005 IT Risk Management Prozess Prozessschritt 1. Informationsbeschaffung 2. Analyse 3. Umsetzung 4. Kontrolle Modul

Mehr

DNS, FTP, TLD Wie kommt meine Website ins Internet?

DNS, FTP, TLD Wie kommt meine Website ins Internet? DNS, FTP, TLD Wie kommt meine Website ins Internet? Ein Blick hinter die Kulissen Martin Kaiser http://www.kaiser.cx/ Über mich Elektrotechnik-Studium Uni Karlsruhe Mitarbeiter bei verschiedenen Internetprovidern

Mehr

Kapsch BusinessCom AG. Risiko des Unternehmens. Werte, Bedrohung und Verletzbarkeit

Kapsch BusinessCom AG. Risiko des Unternehmens. Werte, Bedrohung und Verletzbarkeit Risiko des Unternehmens Werte, Bedrohung und Verletzbarkeit 33 Risikoabschätzung > Sicherheit ist Risikoabschätzung > Es gibt keine unknackbaren Code > Wie lange ist ein Geheimnis ein Geheimnis? > Wie

Mehr

FTP / WebDeploy / WebDAV. Handbuch

FTP / WebDeploy / WebDAV. Handbuch Handbuch August 2015, Copyright Webland AG 2015 Inhalt Einführung FTP WebDeploy WebDAV Anleitungen FTP Windows Mac WebDeploy Windows WebDAV Windows Mac Einführung FTP Haben Sie einen Zugang per FTP gewählt,

Mehr

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ"

1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ /XW]%URFNPDQQ Interoperabilität von Linux und Windows 1HXHLQVWLHJ± /LQX[ RGHU0LFURVRIW (LQH(QWZHGHU2GHU(QWVFKHLGXQJ" \DVF 8QWHUQHKPHQVJUXSSH 6RIWZDUH(QJLQHHULQJ yasc Informatik GmbH Gründung 1996 Sitz

Mehr

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001

Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Rolle eines Threat Management Centers im Rahmen des Risikomanagements nach ISO 27001 Aleksei Resetko, CISA, CISSP Security Global Competence Center 18.02.2009 Agenda 1.! ISO 27001 Überblick 2.! Anforderungen

Mehr

Session Management und Cookies

Session Management und Cookies LMU - LFE Medieninformatik Blockvorlesung Web-Technologien Wintersemester 2005/2006 Session Management und Cookies Max Tafelmayer 1 Motivation HTTP ist ein zustandsloses Protokoll Je Seitenaufruf muss

Mehr

Der Handytrojaner Flexispy im Praxistest

Der Handytrojaner Flexispy im Praxistest Der Handytrojaner Flexispy im Praxistest Smartphones als Einfallstor in Netzwerke Hacking Demo E- Mail, SMS, MMS, WhatsApp Kontakte Netzwerkfreigaben Social Media Terminkalender GPS Kamera, Mikrofon Quelle:

Mehr

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3

Sicherheitstechnische Qualifizierung (SQ), Version 10.0 Security Assurance Level SEAL-3 Die Zertifizierungsstelle der TÜV Informationstechnik GmbH bescheinigt hiermit dem Unternehmen RWE Effizienz GmbH Flamingoweg 1 44139 Dortmund für das IT-System RWE eoperate IT Services die Erfüllung aller

Mehr

Soziale Netzwerke Vielschichtige Gefahren eines neuen Zeitalters

Soziale Netzwerke Vielschichtige Gefahren eines neuen Zeitalters Soziale Netzwerke Vielschichtige Gefahren eines neuen Zeitalters Marc Ruef www.scip.ch ISSS 08. Juni 2011 Zürich, Schweiz Agenda Soziale Netze Vielschichte Gefahren 1. Einführung 2 min Was sind Soziale

Mehr

Anleitung ISPConfig 3 für Kunden

Anleitung ISPConfig 3 für Kunden Anleitung ISPConfig 3 für Kunden Zentrale Anlaufstelle für die Verwaltung Ihrer Dienste bei Providing.ch GmbH ist das Kontrollpanel der ISPConfig Verwaltungssoftware. Sie können damit: Mail-Domänen hinzufügen

Mehr

Inhaltsverzeichnis 18.11.2011

Inhaltsverzeichnis 18.11.2011 Inhaltsverzeichnis Zur besseren Übersicht haben wir die Inhalte auf mehrere Arbeitsblätter aufgeteilt. Dieses Inhaltsverzeichnis dient der Übersicht. Die Namen für die Arbeitsblätter unterliegen einer

Mehr

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH

Die neue Welt der Managed Security Services. DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Die neue Welt der Managed Security Services DI Alexander Graf Antares NetlogiX Netzwerkberatung GmbH Agenda Über Antares Aktuelle Sicherheitsanforderungen Externe Sicherheitsvorgaben Managed Security Log

Mehr

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch

A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch A9: Mobile Security - So werden Sie angegriffen! Renato Ettisberger renato.ettisberger@switch.ch Zürich, 11. Oktober 2011 Security (SWITCH-CERT) Derzeit 7 Mitarbeiter, bald 10 Unser Team erbringt Security-Dienstleistungen

Mehr

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus?

Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Schwachstellen in Web- Applikationen: Was steckt dahinter und wie nutzt man sie aus? Prof. Dr. Marc Rennhard Institut für angewandte Informationstechnologie InIT ZHAW Zürcher Hochschule für Angewandte

Mehr

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht

SZENARIO. ausgeführt Command Injection: Einschleusen (Injizieren) bösartiger Befehle zur Kompromittierung der Funktionsschicht SZENARIO Folgenden grundlegende Gefahren ist ein Webauftritt ständig ausgesetzt: SQL Injection: fremde SQL Statements werden in die Opferapplikation eingeschleust und von dieser ausgeführt Command Injection:

Mehr

OpenWAF Web Application Firewall

OpenWAF Web Application Firewall OpenWAF Web Application Firewall Websecurity und OpenWAF in 60 Minuten Helmut Kreft Fuwa, 15.11.2010 Agenda Webapplikationen? Furcht und Schrecken! OWASP Top 10 - Theorie und Praxis mit dem BadStore Umgang

Mehr

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung

Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Die Herausforderungen in der Logfileanalyse zur Angriffserkennung Patrick Sauer, M.Sc. 29.01.2014 V1.0 Agenda Zielstellung Vorstellung: Wer bin ich, was mache ich? Angriffe und die Auswirkungen in den

Mehr

CMS Anwendung Joomla! Kurzanleitung der WEB- und FTP Servernutzung für die CMS Anwendung Joomla! 1.6.1 an der HLUW Yspertal

CMS Anwendung Joomla! Kurzanleitung der WEB- und FTP Servernutzung für die CMS Anwendung Joomla! 1.6.1 an der HLUW Yspertal CMS Anwendung Joomla! Kurzanleitung der WEB- und FTP Servernutzung für die CMS Anwendung Joomla! 1.6.1 an der HLUW Yspertal Version: 1.0, Ersteller: Ledl, Email: mledl@hlaysper.ac.at Joomla! gehört zur

Mehr

Teamschool Installation/ Konvertierungsanleitung

Teamschool Installation/ Konvertierungsanleitung Teamschool Installation/ Konvertierungsanleitung 1. Ordner c:\inetsrv\wwwroot\teamschool anlegen 2. CD Inhalt nach c:\inetsrv\wwwroot\teamschool kopieren 3. SQL.ini in c:\inetsrv\wwwroot\teamschool\anzeigen

Mehr

Web Applications Vulnerabilities

Web Applications Vulnerabilities Bull AG Wien Web Applications Vulnerabilities Philipp Schaumann Dipl. Physiker Bull AG, Wien www.bull.at/security Die Problematik Folie 2 Der Webserver ist das Tor zum Internet auch ein Firewall schützt

Mehr

am Beispiel - SQL Injection

am Beispiel - SQL Injection am Beispiel - SQL Injection Einführung Warum ist Sicherheit ein Software Thema? Sicherheit in heutigen Softwareprodukten & Trends OWASP Top 10 Kategorien Hacking Demo SQL Injection: der Weg zu den Daten

Mehr

Securepoint Security Systems

Securepoint Security Systems HowTo: Installation Securepoint 10 Securepoint Security Systems Version 10 Inhalt 1 Wichtiger Hinweis vor der Installation... 3 2 Neue Features der Securepoint Version 10... 3 2.1 Allgemein... 3 2.2 HTTP

Mehr

Häufigste Security-Lücken

Häufigste Security-Lücken Häufigste Security-Lücken Andreas Wisler GO OUT Production GmbH Dipl. Ing FH, CISSP, ISO 27001 Lead Auditor www.gosecurity.ch / wisler@goout.ch Agenda Gefahren Social Engineering Penetration Test Interne

Mehr

Webdeployment 2.0 Webanwendungen komfortabel bereitstellen, aus Hoster und Kundensicht.

Webdeployment 2.0 Webanwendungen komfortabel bereitstellen, aus Hoster und Kundensicht. Webdeployment 2.0 Webanwendungen komfortabel bereitstellen, aus Hoster und Kundensicht. Bernhard Frank Web Platform Architect Evangelist bfrank@microsoft.com Was braucht es zu einem Webserver? Webserver

Mehr

INFINIGATE. - Managed Security Services -

INFINIGATE. - Managed Security Services - INFINIGATE - Managed Security Services - Michael Dudli, Teamleader Security Engineering, Infinigate Christoph Barreith, Senior Security Engineering, Infinigate Agenda Was ist Managed Security Services?

Mehr

Produktbeschreibung Penetrationstest

Produktbeschreibung Penetrationstest Produktbeschreibung Penetrationstest 1. Gestaltungsmöglichkeiten Ein Penetrationstest stellt eine Möglichkeit zum Test der IT-Sicherheit dar. Um die vielfältigen Möglichkeiten eines Penetrationstests zu

Mehr

Denken wie ein Hacker

Denken wie ein Hacker Denken wie ein Hacker Phasen eines Hackerangriffs Juerg Fischer Juerg.fischer@sunworks.ch Consultant & Trainer Certified EC-Council Instructor Microsoft Certified Trainer www.digicomp.c 2 1 Ihre Daten

Mehr

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit

Intrusion Detection / Intrusion Prevention. Technologie zwischen Anspruch und Wirklichkeit Intrusion Detection / Intrusion Prevention Technologie zwischen Anspruch und Wirklichkeit IDS Bisher Zwei Bereiche Netzwerk basiert Host basiert Erkennung von Angriffen aufgrund von Mustern / Signaturen

Mehr

Apache HTTP-Server Teil 2

Apache HTTP-Server Teil 2 Apache HTTP-Server Teil 2 Zinching Dang 04. Juli 2014 1 Benutzer-Authentifizierung Benutzer-Authentifizierung ermöglicht es, den Zugriff auf die Webseite zu schützen Authentifizierung mit Benutzer und

Mehr

McAfee Wireless Protection Kurzanleitung

McAfee Wireless Protection Kurzanleitung Blockiert Hacker-Angriffe auf Ihr drahtloses Netzwerk McAfee Wireless Protection verhindert Hacker-Angriffe auf Ihr drahtloses Netzwerk. Wireless Protection kann über das McAfee SecurityCenter konfiguriert

Mehr

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte

Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In) Security PHPUG Würzburg 29.06.2006 Björn Schotte Web 2.0 (In)Security - Themen Alte Freunde SQL Injections, Code Executions & Co. Cross Site Scripting Cross Site Scripting in der Praxis JavaScript

Mehr

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker?

CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? CyberCircle IT Professionals: Wie schütze ich meine Webseite vor Bedrohungen durch Hacker? Dipl.-Inform. Dominik Vallendor 14. November 2013 Tralios IT GmbH www.tralios.de Über mich Dipl.-Inform. Dominik

Mehr

Version 4.4. security.manager. Systemvoraussetzungen

Version 4.4. security.manager. Systemvoraussetzungen Version 4.4 security.manager Systemvoraussetzungen Version 4.4 Urheberschutz Der rechtmäßige Erwerb der con terra Softwareprodukte und der zugehörigen Dokumente berechtigt den Lizenznehmer zur Nutzung

Mehr

Hacking ist einfach!

Hacking ist einfach! Brennpunkt Datenschutz Bedrohungen für Unternehmen Hacking ist einfach! Fahrplan: Der Gesetzgeber sagt Spaß mit USB-Sticks Der Keylogger Spaß mit Passworten Empfehlungen zur Behandlung von Informationssicherheitsvorfällen

Mehr

Handlungsempfehlung zum Aufbau eines Security-Incident Management

Handlungsempfehlung zum Aufbau eines Security-Incident Management Handlungsempfehlung zum Aufbau eines Security-Incident Management Arbeitskreis IT-Security des bvh was sind ein Security-Incident und ein Security-Incident Management Aufbau eines Security-Incident Management

Mehr

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12

web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Montag, 14. Mai 12 Hochschule Niederrhein University of Applied Sciences Elektrotechnik und Informatik Faculty of Electrical Engineering and Computer Science web(in)securities CISCO Academy Day 11/12.05.2012 Mark Hloch Inhalt

Mehr

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.

Gefahr durch Cookies. Antonio Kulhanek. Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity. Gefahr durch Cookies Antonio Kulhanek Security Consultant Dipl. Techniker HF, Kommunikationstechnik MCSE, ITIL Foundation kulhanek@gosecurity.ch Rechtliche Hinweise Art. 143 StGB Unbefugte Datenbeschaffung

Mehr

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.

IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining. IT-Sicherheit heute (Teil 2) Diesen und andere Vorträge bieten wir Ihnen als kostenlose Downloads an. www.networktraining.de/download Agenda Grundlagen: Fakten, Zahlen, Begriffe Der Weg zu mehr Sicherheit

Mehr

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN

KeePass. 19.01.2010 10:15-10:45 Uhr. Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN KeePass the free, open source, light-weight and easy-to-use password manager 19.01.2010 10:15-10:45 Uhr Birgit Gersbeck-Schierholz, IT-Sicherheit, RRZN Agenda Einführung Versionen Features Handhabung Mobile

Mehr

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de

Informationen schützen Ihr Geschäft absichern ConSecur GmbH www.consecur.de Informationen schützen Ihr Geschäft absichern Aktuelle Bedrohungen und wie man sie mindert. Matthias Rammes rammes@consecur.de ConSecur GmbH Schulze-Delitzsch-Str. 2 D-49716 Meppen Fon +49 5931 9224-0

Mehr

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01.

Georg Heß. Grünes Licht für verlässlichere Online- Services WEB APPLICATION SECURITY. Deutschland sicher im Netz e.v. Köln, 24.01. Sicherheit von W eb- Applikationen Grünes Licht für verlässlichere Online- Services Deutschland sicher im Netz e.v. Köln, 24.01.2008 Georg Heß Agenda Kurzprofil der art of defence GmbH Sicherheitsleck

Mehr

Homepageerstellung mit WordPress

Homepageerstellung mit WordPress Homepageerstellung mit WordPress Eine kurze Einführung in die Installation und Einrichtung von WordPress als Homepage-System. Inhalt 1.WordPress installieren... 2 1.1Download... 2 1.2lokal... 2 1.2.1 lokaler

Mehr